コンテンツセキュリティポリシーおよび Experience Cloud ID サービス
作成対象:
- 開発者
- ユーザー
- 管理者
- リーダー
コンテンツセキュリティポリシー(CSP)は、Web ページに読み込まれるリソースのタイプをブラウザーで制御できるようにするために HTTP ヘッダーで使用されるセキュリティ機能です。ID サービスを使用していて、信頼されているドメインからのリソースを許可するホワイトリストを用いる厳格な CSP がある場合は、このセクションを確認してください。ここに記載されているアドビドメインを CSP ホワイトリストに追加する必要があります。
CSP レビュー
CSP は HTTP ヘッダー Content-Security-Policy を使用してブラウザーが許可したりページに読み込んだりするリソースのタイプを制御します。CSP を適用すると以下の問題を防ぐことができます。
- ソースが不明な JavaScript ファイルや、ホワイトリストに含まれていない JavaScript ファイルの読み込み。
- クロスサイトスクリプティング(XXS)攻撃。
- データインジェクション攻撃。
- サイト改ざん攻撃。
- マルウェアの配布。
CSP の使用は一般的であり、よく理解されています。このドキュメントの目的は CSP について詳しく説明することではありません(詳しくは、後にある関連情報リンクを参照してください)。重要なのは、厳格なセキュリティポリシーを適用する必要がある場合に、CSP に追加する必要があるアドビのドメイン名を理解することです。これらのドメインを追加することで、お客様のサイトにアクセスした訪問者のブラウザーが、使用する Experience Cloud リソースに対する重要な呼び出しをおこなえるようになります。
許可リストへの登録用 Experience Cloud ドメイン
現在使用している Experience Cloud ソリューションまたはサービスごとに、これらのドメイン名または URL を CSP に追加してください。
| Experience Cloud ソリューションまたはサービス | 説明 |
|---|---|
| AppMeasurement |
CSP に以下を追加します。
|
| Target | CSP に *.tt.omtrdc.net を追加します。 |
| Experience Cloud ID サービスと Audience Manager |
CSP を変更し、以下のドメインを含めます。
demdex.net ドメインの呼び出しは、Cookies および Experience Cloud ID サービスの生成と、ID 同期用に使用されます。Demdex ドメインの呼び出しについても参照してください。 |
| Activity Map プラグイン | CSP に *.adobe.com を追加します。**メモ**:2020 年 1 月より前に Activity Map をインストールした場合、ブラウザーには「*.omniture.com」への初期リクエストが表示されますが、「*.adobe.com」にリダイレクトされます。 |
| Advertising Analytics | クエリ文字列パラメーターを制御できる場合は、必ずパラメーター「s_kwcid」と「ef_id」を許可リストに入れてください。技術的には、Advertising Analytics は「s_kwcid」のみを使用しますが、Ad Cloud 検索または DSP を使用する場合は「ef_id」も使用されます。これらのクエリ文字列パラメーターは英数字です。「s_kwcid」パラメーターは、「!」文字、「ef_id」パラメータには、「:」文字を使用します。URL の「!」文字をブロックする場合は、ホワイトリストに登録する必要があります。 |
Experience Cloud Services
